$30 off During Our Annual Pro Sale. View Details »

Droot Internals

Yuuki Tsubouchi (yuuk1)
April 23, 2016
Technology
3
19k

Droot Internals

id:y_uuki
第9回 コンテナ型仮想化の情報交換会@福岡

Yuuki Tsubouchi (yuuk1)

April 23, 2016
Tweet

More Decks by Yuuki Tsubouchi (yuuk1)

See All by Yuuki Tsubouchi (yuuk1)
エンジニアのためのSRE論文への招待 / Introduction to SRE Papers for Engineers
yuukit
1
4.8k
博士課程での研究まとめ 2023年1月版 / Summary of my research in the PhD course
yuukit
1
120
AI時代に向けたクラウドにおける信頼性エンジニアリングの未来構想 / DICOMO2022 6A-1
yuukit
7
2.3k
AIOps研究録―SREのための
システム障害の自動原因診断 / SRE NEXT 2022
yuukit
9
11k
Interactive AIOps
yuukit
0
1.7k
Meltria: マイクロサービスにおける
異常検知・原因分析のための
データセットの動的生成システム / Meltria in IOTS2021
yuukit
1
1.3k
AIOpsの研究動向と
AIOps向けデータセットの動的生成の研究 / Introducing AIOps and A Dynamic Datasets Generating System
yuukit
1
590
分散アプリケーションの高信頼化のための
運用技術に関する研究 / A Study on Operation Technology for High Reliability of Distributed Applications
yuukit
1
660
ネットワークサービスの依存発見に向いた
TCP/UDP通信の低負荷なトレース手法 / Low Overhead TCP-UDP Tracing in Kernel
yuukit
5
3.7k

Other Decks in Technology

See All in Technology
お客様、そこは秘孔です!突かないでください! HTTP/2 Rapid reset の概要と対策
murachiakira
0
130
Exploring Postgres VACUUM with the VACUUM Simulator
keiko713
5
560
急成長スタートアップにおける技術的負債とトレードオフ・スライダー / Technical Debt and Trade-off Sliders in Fast-Growing Startups
codenote
2
2k
幸運を科学する ~アジャイルチームの成功を再現する方法~
okamototakuyasr2
0
190
Kaggle Tokyo Meetup2023 CommonLit Solutionの紹介と考え方 - Fulltrain戦略と(Seed/Model)Ensembleの可視化 -
chumajin
2
490
走馬灯のIaCは考えておいて
nwiizo
6
2.9k
GPT APIを使ったテキスト生成コンペ@YANS2023に参加した話
naohachi89
2
300
FRONTEND CONFERENCE OKINAWA 2023 スポンサーセッション発表スライド/frontend-okinawa
nikkei_engineer_recruiting
1
2k
【論文紹介】 A Survey on Hallucination in Large Language Models: Principles, Taxonomy, Challenges, and Open Questions
tomoaki25
4
150
太田博三
otanet
0
160
【Python東海#44】Pydroid3で画像処理
kazuhitotakahashi
0
160
Oracle Cloud Infrastructure:2023年11月度サービス・アップデート
oracle4engineer
PRO
0
200

Featured

See All Featured
Happy Clients
brianwarren
91
6.1k
Making Projects Easy
brettharned
105
5.2k
Intergalactic Javascript Robots from Outer Space
tanoku
264
26k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
240
20k
jQuery: Nuts, Bolts and Bling
dougneiner
57
6.9k
What's in a price? How to price your products and services
michaelherold
236
10k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
44
12k
Debugging Ruby Performance
tmm1
68
11k
VelocityConf: Rendering Performance Case Studies
addyosmani
319
23k
Embracing the Ebb and Flow
colly
77
3.8k
Adopting Sorbet at Scale
ufuk
66
8.2k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
1
880

Transcript

  1. %SPPU*OUFSOBMT
    JEZ@VVLJ
    ୈ̕ճίϯςφܕԾ૝Խͷ৘ใަ׵ձ!෱Ԭ

    View Slide

  2. id:y_uuki
    @y_uuk1
    ͸ͯͳ!ژ౎
    ΢ΣϒΦϖϨʔγϣϯΤϯδχΞ

    View Slide

  3. IUUQZVVLJIBUFOBCMPHDPNFOUSZESPPU

    View Slide

  4. TL;DR
    • ιϑτ΢ΣΞґଘ஍ࠈͷղܾͷͨΊʹ
    DockerΛ࢖͍͍ͨ
    • ຊ൪؀ڥͰDockerΛӡ༻͢Δͷ͸ͭΒ͍
    • ʮBuild, Ship, Runʯͱ͍͏ίϯηϓτ͸޷͖
    • DockerΠϝʔδΛS3Λܦ༝ͯ͠഑෍͠ɺ
    chrootͰ࣮ߦ͢Δख๏ͷఏҊ

    View Slide

  5. Ծ૝Խٕज़
    )8Ծ૝Խ 04Ծ૝Խ
    ,7.
    9FO
    ʜ
    γεςϜίϯςφ
    -9$

    ΞϓϦέʔγϣϯ
    ίϯςφ
    %PDLFS

    View Slide

  6. ͳͥ(๻͸)DockerΛ࢖͏ͷ͔
    • ✘ VMΑΓߴ଎
    • ✘ Πϛϡʔλϒϧ
    • ✘ Φʔτεέʔϧ
    • ˚ ϙʔλϏϦςΟ
    • ○ ϓϩάϥϚϒϧͳϗετ؀ڥ
    • ○ ιϑτ΢ΣΞґଘ஍ࠈͷղܾ

    View Slide

  7. ιϑτ΢ΣΞґଘ஍ࠈ
    • ͋Διϑτ΢ΣΞ͸͍͍ͨͯෳ਺ͷιϑτ
    ΢ΣΞʹґଘ͢Δ
    • ґଘઌͷιϑτ΢ΣΞ΋·ͨෳ਺ͷιϑτ
    ΢ΣΞʹґଘ͢Δ
    • ಉ͡؀ڥΛ࠶ݱ͢Δͷ͕೉͍͠
    • BundlerͳͲΛ࢖ͬͯ΋CͷϥΠϒϥϦʹ
    ґଘ͢Δ͜ͱ΋

    View Slide

  8. Docker
    • LinuxͷσΟετϦϏϡʔγϣϯ؀ڥ
    ͝ͱݻΊͯΠϝʔδԽ
    • /lib, /usr/bin, /etcͳͲͥΜͿ
    • Linux NamespacesͰಠཱͨ͠؀ڥΛ
    ࡞ͬͯΠϝʔδΛల։

    View Slide

  9. DockerࠔΔ͜ͱ
    • Docker Engineͷෆ҆ఆ͞
    • ωοτϫʔΫ·ΘΓͷύϑΥʔϚϯεྼԽ
    • ίϯςφͷΰϛ૟আ
    • ίϯςφͷແఀࢭσϓϩΠ
    • ίϯςφͷϩά؅ཧ
    • ίϯςφͷ؂ࢹ
    • ίϯςφͷσόοά
    • Docker Registryͷӡ༻

    View Slide

  10. chroot

    View Slide

  11. chroot ☓ Docker ͷΞΠσΞ
    EPDLFSQVMMNZTRM
    $0/5"*/&3@*% EPDLFSDSFBUFNZTRM

    EPDLFSFYQPSU$0/5"*/&3@*%PNZTRMUBS
    NZTRMUBSΛ.Z42-Λಈ͔͍ͨ͠ϗετ΁ίϐʔ
    ͢Δɻ
    UBSYG[WBSDPOUBJOFSTNZTRMNZTRMUBS
    TVEPDISPPUWBSDPOUBJOFSTNZTRMNZTRME

    View Slide

  12. View Slide

  13. ࠷ۙͷΞϓϦέʔγϣϯσϓϩΠ
    • git pull͕஗͍
    • σϓϩΠαʔό͔Βͷrsync΋஗͍
    • tarball σϓϩΠ
    • ੒Ռ෺ΛS3ͳͲʹ഑ஔ͠ɺσϓϩΠઌͰ s3 cp
    Ͱμ΢ϯϩʔυͯ͠ల։
    • Serf/Consul
    • σϓϩΠαʔό͔ΒͷSSH͕஗͍ͨΊ

    View Slide

  14. Droot

    View Slide

  15. #VJME
    4IJQ
    3VO ESPPUSVO
    EPDLFSCVJME
    ESPPUFYQPSU
    EPDLFS
    EBFNPO
    4UPSBHF
    4

    ESPPUEFQMPZ
    BXTTDQ
    BXTTDQ

    View Slide

  16. %PDLFS %SPPU
    #VJME EPDLFSCVJME EPDLFSCVJME
    3FHJTUSZ
    %PDLFS)VC
    %JTUSJCVUJPO
    ͳΜͰ΋Α͍

    "NB[PO4

    'JMF'PSNBU %PDLFSJNBHF
    ͳΜͰ΋Α͍
    FYUBSH[

    $POUBJOFS
    -JOVY
    /BNFTQBDFT
    DISPPU

    View Slide

  17. $ droot export
    • DockerΠϝʔδͷϑΝΠϧγεςϜΛtarܗࣜͰग़ྗ
    • جຊ͸ docker create && docker export
    • gzip / aws cli ͱͷύΠϓʹΑΓɺtar.gzԽͯ͠S3ʹ഑ஔ
    • ϑΝΠϧγεςϜʹdrootઐ༻ͷ؀ڥม਺ϑΝΠϧ
    (/.drootenv) Λ࢓ࠐΉ
    ESPPUFYQPSUEPDLFSpMFTBQQcH[JQDR
    cBXTTDQTCVDLFUBQQUBSH[

    View Slide

  18. $ droot deploy
    • ඪ४ೖྗ͔ΒtarΞʔΧΠϒΛಡΈࠐΈɺࢦఆ͠
    ͨσΟϨΫτϦʹల։
    • සൟʹߋ৽͞ΕΔίϯςφͷσϓϩΠΛ૝ఆ
    • rsync mode ͱ symlink mode
    BXTTDQTCVDLFUBQQUBSH[c
    HVO[JQDRcESPPUEFQMPZSPPUWBSDPOUBJOFST

    View Slide

  19. symlink ʹΑΔ atomic deploy
    • σϓϩΠࡁΈͷίϯςφ؀
    ڥΛࠩ͠ସ͑Δඞཁ͕͋Δ
    • https://gist.github.com/
    datagrok/3807742#file-
    symlink-replacement-md
    • symlink Λ rename(2)ɹ
    (mv -T) Ͱ੾Γସ͑Δ͜ͱ
    ʹΑΓΞτϛοΫʹσΟϨ
    ΫτϦΛࠩ͠ସ͑Δ

    ᵓᴷᴷBQQBQQENBJO
    ᵓᴷᴷBQQE
    ᵋᴷᴷNBJO
    ᵋᴷᴷCJO
    ᵋᴷᴷCPPU
    ᵋᴷᴷEFW

    ᵋᴷᴷCBDLVQ
    ᵋᴷᴷCJO
    ᵋᴷᴷCPPU
    ᵋᴷᴷEFW

    View Slide

  20. $ droot run
    • ࢦఆͨ͠σΟϨΫτϦΛchroot jailͱ࣮ͯ͠ߦ
    • σόΠεϑΝΠϧͷ࡞੒ (/dev/null, /dev/zeroͳͲ)
    • ϗετͷ /etc/group, /etc/resolve.confͳͲΛίϐʔ
    • bind mountͰϗετଆͷ೚ҙͷσΟϨΫτϦΛϚ΢ϯτ
    • Linux capabilities(7) ͰݖݶΛ཈੍
    TVEPESPPUSVODQCJOEWBSMPHSPPU
    ɹɹWBSDPOUBJOFSTBQQDPNNBOE

    View Slide

  21. chroot(2)
    • ϓϩηεͷϧʔτσΟϨΫτϦΛมߋ
    • ϓϩηεͷઈରύεͷ୳ࡧى఺ͷมߋͷΈ
    • ϓϩηεΛੜ੒ͨ͠Γ͠ͳ͍
    • ΧϨϯτσΟϨΫτϦ͸ͦͷ··ͳͷͰcrhootίʔ
    ϧޙʹchdir(“/“)͢Δ͜ͱ͕ଟ͍
    • jail؀ڥ֎ͷϑΝΠϧ΁షΒΕͨγϯϘϦοΫϦϯ
    Ϋ΁͸ΞΫηεͰ͖ͳ͍

    View Slide

  22. BindϚ΢ϯτ
    • Linux 2.2͔Βಋೖ
    • σΟϨΫτϦ΍ϑΝΠϧΛଞͷҐஔ΁Ϛ΢ϯτ
    • chroot jail؀ڥ಺͔ΒϚ΢ϯτઌͷϑΝΠϧ΍σΟϨ
    ΫτϦ΁ΞΫηεͰ͖Δ
    • /var/containers/app/var/log ͱ͔ࢀর͢Δͷ໘౗
    • mount -o bind /var/log /var/containers/app/var/log
    • ϗετͷ /var/log Λڞ༗

    View Slide

  23. LinuxέʔύϏϦςΟ
    • chroot(2)͸ಛݖϓϩηεͰͳ͍ͱίʔϧͰ͖ͳ͍
    • (ݫີʹ͸CAP_SYS_CHROOT)
    • ͔͠͠ɺεʔύʔϢʔβͰಈ͔͢ͷ͸ෆ҆
    • εʔύʔϢʔβͰಈ͔ͭͭ͠ɺcapabilities(7)Ͱඞཁͳ
    ݖݶҎ֎Λམͱ͓ͯ͘͠
    • CAP_CHOWN, CAP_DAC_OVERRIDE,
    CAP_DAC_READ_SEARCH, CAP_FOWNER,
    CAP_SETGID, CAP_SETUID, CAP_NET_BIND_SERVICE
    ΛڐՄ

    View Slide

  24. Problems

    View Slide

  25. • Docker (NamespacesΛ࢖ͬͨίϯςφ)΄Ͳͷɹ
    ϙʔλϏϦςΟ͸ͳ͍
    • Dockerίϯςφͷ؀ڥม਺͕Ҿ͖ܧ͕Εͳ͍
    • Dockerίϯςφ্ͷ user/group ͕σϓϩΠઌ
    ϗετʹ͍ͳ͍
    ϙʔλϏϦςΟͷ໰୊

    View Slide

  26. • ؀ڥม਺͸ϑΝΠϧͱͯ͠ӬଓԽ͞Εͳ͍ͷͰɺ
    Ұ୴ϑΝΠϧʹอଘ
    • droot export ͰҰ୴Dockerίϯςφͱͯ͠ىಈ͞
    ͔ͤͯΒ env ίϚϯυͷ࣮ߦ݁ՌΛ /.drootenv ͱ
    ͯ͠อଘ
    • droot run Ͱ /.drootnenv ΛಡΈͩͯ͠؀ڥม਺Λ
    ෮ݩ
    • droot run —env Ͱ؀ڥม਺ͷ௥Ճɾ্ॻ͖Մೳ
    ؀ڥม਺ͷҾ͖ܧ͗

    View Slide

  27. • User Namespaces಺Ͱ/etc/groupͳͲΛΈͯඞཁ
    ͳuser/grpupΛࣗಈ࡞੒
    • ϓϩηεπϦʔߏ଄Λ͔͑ͨ͘ͳ͍ͷͰɺclone(2)
    Ͱ͸ͳ͘ chroot(2) ޙʹ unshare(2) ͢Δ
    • clone(2) ͩͱࢠϓϩηεΛੜ੒͢ΔͨΊɺεʔ
    ύʔόΠβϓϩηεͷ഑ԼͰdroot runͨ͠ͱ͖
    ʹɺγάφϧ؅ཧ͕͏·͍͔͘ͳ͍͔΋
    user/groupͷࣗಈ࡞੒(ະ࣮૷)

    View Slide

  28. • ͜Ε͸͓ͦΒ͘ PID Namespacesͷ࿩
    • https://lwn.net/Articles/532748/
    • Namespaces௚Լͷϓϩηε͕pid 1ͱͯ͠ৼΔ෣͏ඞཁ͕Ͱ
    ͯ͘Δ
    • orphanϓϩηεͷճऩ͢Δඞཁ͕͋Δ

    View Slide

  29. ίϯςφ͸
    ࣗ෼Ͱ࡞ΕΔ

    View Slide

  30. (PMBOH

    View Slide

  31. • github.com/docker/docker/pkg
    • archive, devicemapper, fileutils, mount, symlink…
    • github.com/opencontainers/runc/libcontainer
    • Linux Namespaces·ΘΓ
    • https://github.com/syndtr/gocapability
    • LinuxέʔύϏϦςΟ
    • github.com/docker/engine-api
    • Docker APIΫϥΠΞϯτ
    ίϯςφπʔϧ޲͚ύοέʔδ

    View Slide

  32. • ࣗ࡞ͷίϯςφπʔϧ Drootͷഎܠͱ࣮૷
    • Build, Ship, RunΛ࣮ݱ͢Δୈ̏ͷιϑτ΢ΣΞ
    • droot export, droot deploy, droot run
    • DockerͰΠϝʔδΛ࡞ͬͯ chroot Ͱ࣮ߦ
    • ϙʔλϏϦςΟͷ໰୊ͱͦͷղܾ
    • ίϯςφ͸ࣗ෼Ͱ࡞ΕΔ
    ·ͱΊ

    View Slide

  33. github.com/yuuki/droot

    View Slide